ASP.NET跨域请求中的问题【CORS】

最新推荐文章于 2024-07-17 17:10:07 发布
最新推荐文章于 2024-07-17 17:10:07 发布
阅读量5.8k 收藏 5
点赞数 1
分类专栏: ASP.NET 文章标签: asp.net CROS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lordwish/article/details/52512790
版权

浏览器的安全策略会阻止网页向另一个站点发送ajax请求,同时也会阻止恶意站点从另一个站点读取数据。这种限制被称作“同源策略”。然而有时我们需要从一个站点访问另一个站点,比如从一个站点访问你的WebApi接口。
跨域资源共享-Cross Origin Resource Sharing(CORS)是一项W3C标准,允许服务端释放同源策略,使得服务端在接受一些跨域请求的同时拒绝其他的跨域请求。相比较早期的JSONP等技术而言,CORS更加安全更加灵活。

1.什么是“跨域”?

如果两个URL的协议、域名、端口相同,那么这两个URL就是同源。不是同源的就是跨域的,也就是说凡是发送请求URL的协议、域名、端口三者中任意一个与当前页面的URL不同即为跨域。

下面两个URL是同源的:

http://example.com/page1.html

http://example.com/page2.html

下面的URL和上面两个都不是同源的,也即是跨域的

URL说明
http://example.net不同的域名
http://example.com:9080/page1.html不同的端口
https://example.com/page1.html不同的协议
http://www.example.com/page1.html不同的子域名

注意:IE在比较是否同源时不考虑端口号

2.CORS如何工作

CORS特性提供了多个Http请求头以供跨域请求使用。如果一个浏览器支持CORS,它会自动的为跨域请求加上相应的http请求头,并不需要在javaScript中添加额外代码。

下面是一个跨域请求的示例,在Http请求头的“Origin”项中是发起请求的站点域名。

GET http://myservice.net/api/test HTTP/1.1
Referer: http://myclient.net/
Accept: * / *
Accept-Language: en-US
Origin: http://myclient.net
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)
Host: myservice.net

如果服务端允许了这个跨域请求,它会在http的Response的头部设置项Access-Control-Allow-Origin。只有当Response中Access-Control-Allow-Origin的值与Request中Origin的值相匹配时,这个请求才会成功。如果Access-Control-Allow-Origin的值是”*”,则意味着任意跨域访问都是被允许的。

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Type: text/plain; charset=utf-8
Access-Control-Allow-Origin: http://myclient.net
Date: Wed, 05 Jun 2013 06:27:30 GMT
Content-Length: 17

如果在HttpResponse的头部中没有包含Access-Control-Allow-Origin项,跨域请求会失败。即使服务端已经返回了正确的反馈,浏览器也不会将这个返回传递给客户端应用。

No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://myclient.net’ is therefore not allowed access. The response had HTTP status code 500.

对于一些CORS请求,浏览器会在发送实际需要的请求之前发送一个额外的请求,我们称之为“前置请求”。前置请求使用了Http Options方法,它包含了两个特殊的请求头Access-Control-Request-Method和Access-Control-Request-Headers。

OPTIONS http://myservice.net/api/test HTTP/1.1
Accept: * / *
Origin: http://myclient.net
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: accept, x-my-custom-header
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)
Host: myservice.net
Content-Length: 0

也就是说浏览器发送了两次请求,首先发送前置请求,验证当前发送请求的站点是否在允许访问的域的范围内,若验证通过就发送真正的请求获取数据,否则请求就会被拒绝。在浏览器的调试界面(F12-Network)我们也可以看到请求是有两次。

在下列情况下,浏览器会跳过前置请求:
1.Http请求方法是GET、HEAD或POST
2.Http请求的Content-Type是application/x-www-form-urlencoded、multipart/form-data、text/plain
3.Http请求头包含了Accept, Accept-Language, Content-Language, Content-Type

3.如何使用CORS

在ASP.NET应用中,可以使用NuGet获取多个关于CORS的类库:
这里写图片描述
这些类库分别位于Owin和AspNet命名空间下,是CORS标准的不同实现,最终实现的效果是一样的,只是使用环境和方式不太一样。

3.1为WebApi添加CORS

通过NuGet安装Microsoft.AspNet.WebApi.Cors为WebApi添加CORS。使用[EnableCros]属性可以全局设置CORS,也可以为Controller或Action单独设置CORS。

全局(Global)设置

public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        config.EnableCors();
    }
} 

Controller设置

[EnableCors]
public class ValuesController : ApiController
{
    public HttpResponseMessage Post() { ... }
    [DisableCors]
    public HttpResponseMessage PutItem(int id) { ... }
}

Action设置

public class ValuesController : ApiController
{
    public HttpResponseMessage Post() { ... }

    [EnableCors]

    public HttpResponseMessage PutItem(int id) { ... }
}

其中[EnableCros]属性有多个项可以设置,可以实现指定的站点才允许跨域访问:[EnableCros(origin:”“,headers:”“,methods:”*”)]

3.2通过Owin实现CORS

Owin是微软推广的.NET Web应用程序与Web服务器之间的接口,通过Owin实现CORS需要使用NuGet安装Microsoft.Owin.Cros。在项目中添加Owin的Startup类:

public partial class Startup
{
    public void Configuration(IAppBuilder app)
    {
        //允许跨域访问  
        app.UseCors(CorsOptions.AllowAll);
    }
}

或者在web.config的system.webServer项下添加:

    <httpProtocol>
      <customHeaders>
        <add name="Access-Control-Allow-Origin" value="*"/>
        <add name="Access-Control-Allow-Headers" value="*"/>
        <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE"/>
      </customHeaders>
    </httpProtocol>

对于WebApi或MVC,如果已经引用并实现了Owin中的CROS,就不需要在WebApiConfig中设置config.EnableCros()了。

3.3.其他实现CORS的方式

除了在代码和配置文件中添加CORS外,还可以在网站发布后通过修改IIS配置来实现CORS
打开IIS管理器,找到你的站点中的“HTTP响应标头”:
这里写图片描述

添加HTTP响应标头:

Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:origin,x-requested-with,content-type
Access-Control-Allow-Methods:POST,GET,OPTIONS
Access-Control-Allow-Origin:*

注意:如果应用程序包含上述两种以上情况时,只需在一处设置CORS,否则访问应用时会出错(Access-Control-Allow-Origin的值只能有一个):

Response to preflight request doesn’t pass access control check:The ‘Access-Control-Allow-Origin’ header contains multiple values ‘http://myclient.net,*’,but only one is allowed. Origin ‘http://myclient.net’ is therefore not allowed access.

参考文章

Enabling Cross-Origin Requests in ASP.NET Web API 2

ludewig
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET的WebService跨域CORS问题解决方案
zgw555555的专栏
06-06 1475
ASP.NET Web API 或 ASP.NET Core 处理跨域资源共享(CORS问题时,有几种方法可以实现。以下是针对ASP.NET Web API和ASP.NET Core的CORS解决方案。
Ajax跨域访问(ASP.NET Web)
07-06
Ajax跨域访问的示例(ASP.NET Web)
asp.net web api 跨域问题
weixin_30904593的博客
08-06 306
缘起 以前在asp.net mvc时代,很少出现跨域问题 自从使用了asp.net web api + angular (1/2)之后,开始有跨域问题了。 简单普及下跨域: 我的理解是只要是前台页面与后台服务不在同一域名下,或者同域名不同端口下,就是跨域,我做个真值表: 前端 后端 是否跨域 http://localhost:3000 h...
C#/.NET 后端解决跨域问题和依赖注入
最新发布
m0_46367578的博客
07-17 279
/ 接口....// 实现// 数据访问层(三层架构)/// 根据用户名和密码查询用户/// 根据账号名和token获取用户信息...
通过微软的cors类库,让ASP.NET Web API 支持 CORS
weixin_34097242的博客
10-24 135
前言:因为公司项目需要搭建一个Web API 的后端,用来传输一些数据以及文件,之前有听过Web API的相关说明,但是真正实现的时候,感觉还是需要挺多知识的,正好今天有空,整理一下这周关于解决CORS问题,让自己理一理相关的知识。 ASP.NET Web API支持CORS方式,据我目前在网上搜索,有两种方式 通过扩展CorsMessageHandle实现:          ...
C#进阶-ASP.NET的WebService跨域CORS问题解决方案
踏雨歌青春,诗酒趁年华
05-17 9585
本文介绍如何解决.net framework开发asp.net时常见的CORS跨域请求被拦截的问题。在现代的Web应用程序开发跨域资源共享(Cross-Origin Resource Sharing, CORS问题是开发者经常遇到的一个挑战。特别是当前端和后端服务部署在不同的域名或端口时,CORS问题就会显得尤为突出。在这篇博客,我们将深入探讨如何在 `.NET WebService` 解决CORS问题,帮助开发者顺利实现跨域请求
最简单的跨域方式(ASP.NET
Yunying的专栏
01-19 3236
针对ASP.NET MVC和ASP.NET Web API两种项目类型,只需要在web.config添加如下的内容即可
支持Ajax跨域访问ASP.NET Web Api 2(Cors)的示例教程
10-22
在Web开发跨域资源共享(Cross-Origin Resource Sharing,简称CORS)是一个重要的概念,特别是在前后端分离的开发模式,前端与后端通常是部署在不同的域名下,因此产生跨域请求问题。当浏览器安全策略执行...
ASP.NET编程知识】谈谈如何在ASP.NET Core实现CORS跨域.docx
05-21
ASP.NET Core 实现 CORS 跨域可以解决浏览器和服务器之间的跨域限制问题。 在 ASP.NET Core 实现 CORS 跨域需要配置服务端,前端的操作浏览器会自动完成。下面是实现 CORS 跨域的步骤: 首先,需要安装 IIS...
谈谈如何在ASP.NET Core实现CORS跨域
10-20
在*** Core实现CORS,主要是通过配置间件来允许跨域请求。*** Core 提供了一系列的API来配置CORS策略。开发者可以通过间件来声明哪些源被允许,哪些HTTP方法被接受,以及是否支持特定的HTTP头等。 要配置CORS...
asp.net(C#)跨域跨域写Cookie问题
10-28
在网站www.A.com下通过iframe或ajax调用www.B.com下的内容时,默认情况下IE会阻止www.B.com写任何Cookie
ASP.NET跨域单点登录的实现(SSO)
12-17
一个简单的单点登录功能,实现跨域的单点登录 多个站点之间只需登录一次
asp.net core跨域
qq_36437991的博客
01-06 486
asp.net core跨域
Asp .Net Core 系列: 集成 CORS跨域配置
程序人生
01-11 2265
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
ASP.NET Core CORS 简单使用
weixin_30633949的博客
09-21 126
CORS 全称"跨域资源共享"(Cross-origin resource sharing)。 跨域就是不同域之间进行数据访问,比如 a.sample.com 访问 b.sample.com 的数据,我们如果不做任何处理的话,就会出现下面的错误: XMLHttpRequest cannot load b.sample.com. No 'Access-Control-Allow-Origin' ...
asp.net跨域处理
u012534141的专栏
01-20 863
一、asp.net web form 跨域处理   public static void CorsRequest(HttpContext context)         {             System.Collections.Generic.List lHost = new System.Collections.Generic.List();             #re
ASP.NET解决跨域问题
weixin_45866907的博客
06-03 145
ASP.NET解决跨域问题
ASP.NET网站实现Ajax的跨域请求
悲欢离合的博客
12-03 1701
什么是同源策略 什么是跨域请求 跨域请求的方法 jsonp CROS 其他方法 window.name+iframe window.postMessage() document.domain WebSocket Nodejs间件代理跨域 nginx代理跨域 跨域资源共享(CORS) postMessage跨域 location.hash + iframe跨域 document.domain + ...
ASP.NET Core实战:实现CORS跨域配置指南
本文档主要讨论了如何在ASP.NET Core实现CORS(跨源资源共享)功能,以解决Ajax跨域请求的限制问题CORS是W3C标准,允许浏览器与不同源的服务器进行安全的数据交换。在现代浏览器CORS得到广泛支持,包括IE10...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值